Chapitre 3. Les ressources du rôle de ROSA IAM

Il faut plusieurs rôles à l’échelle du compte pour créer et gérer des clusters ROSA. Ces rôles ne doivent être créés qu’une fois par compte AWS et n’ont pas besoin d’être créés frais pour chaque cluster. Il est possible de spécifier votre propre préfixe ou d’utiliser le préfixe par défaut (ManagedOpenShift).

Les rôles suivants à l’échelle du compte sont requis:

Les rôles d’opérateur spécifiques au cluster (rôles d’opérateur dans l’ILC ROSA), obtenir les autorisations temporaires requises pour effectuer des opérations de cluster pour les fonctionnalités fournies par les opérateurs, telles que la gestion du stockage back-end, l’entrée et le registre. Cela nécessite la configuration d’un fournisseur OpenID Connect (OIDC), qui se connecte à AWS Security Token Service (STS) pour authentifier l’accès de l’opérateur aux ressources AWS.

Les rôles d’opérateur sont requis pour chaque cluster, car plusieurs opérateurs sont utilisés pour fournir des fonctionnalités de cluster par défaut.

Les rôles d’opérateur suivants sont requis:

L’interface utilisateur Web, OpenShift Cluster Manager, vous oblige à créer des rôles supplémentaires dans votre compte AWS pour créer une relation de confiance entre ce compte AWS et le gestionnaire de cluster OpenShift.

Cette relation de confiance est obtenue grâce à la création et à l’association du rôle d’Ocm-role AWS IAM. Ce rôle a une politique de confiance avec l’installateur AWS qui relie votre compte Red Hat à votre compte AWS. En outre, vous avez également besoin d’un rôle AWS IAM d’utilisateur pour chaque utilisateur d’interface utilisateur Web, qui sert à identifier ces utilisateurs. Ce rôle AWS IAM de rôle utilisateur n’a pas d’autorisations.

Les rôles AWS IAM suivants sont nécessaires pour utiliser OpenShift Cluster Manager: